Fórumok
Nagy a gyanúm, hogy az ehhez hasonló üzeneteket manuálisan juttatják el a címzetthez:
Üzenetet kapott tőle Név : HenrySlado Email: Perrenozp427@yahoo.com Make dollars just sitting home. https://profit-gold-strategy.life/?u=bdlkd0x&o=x7t8nng
A hunvagyok.hu főoldalon a Lépjen kapcsolatba velünk felületen küldte el.
Ez elterjedt "technika" ?
Annyi megoldási lehetőség van, hogy ki-ki válogathat kedvére, én is ezt teszem és köszönöm az ötleteket.
Hozzászólások
Szűrd a tartalmat. Pl ne engedj url-t.
Köszönöm, ez jó ötlet.
"https://hunvagyok.hu "
Lehet, hogy gyenge az a captcha és néha felismeri a bot.
Használj recaptcha-t: https://www.google.com/recaptcha/about/
Másik varáció, hogy hibásan van implementálva a captcha és valamilyen trükkös esetben elfogadja a szerver oldal a beküldést jó captcha nélkül is.
Nálam az vált be, hogy kirakok egy plusz mezőt pl. "name". Ezt css-el elrejtem és ha kitölti, azzal nem foglalkozom. Csak egy 200-at válaszolok vissza, mintha rendben lenne, de valójában megy a kukába.
Ez jó ötlet. Tetszik.
Nagyon tetszik, gratulálok.
"https://hunvagyok.hu "
Ritka szánalmas, hogy jelenleg itt tart a szakma, hogy a fősodratú tanácsok kimerülnek a felhasználót alapdolgokban korlátozásban (URL tiltása) és egy tech-multi adatgyűjtögető-követgető készmegoldásának legkisebb ellenállás felé tendáló behúzásában (recaptcha).
Az én javaslatom az, hogy tegyél bele egy botok számára nem szokványos, de a magyar köztudatban mégis ismert kérdést, például az oldal témájával kapcsolatban.
A kérdésekből választasz véletlenszerűen egyet és nem engeded tovább, amíg nem tudja rá a választ (vagy igen, csak kidobod a postot, ha rosszul válaszolt - de ezzel megint szivatod a felhasználót). Mindenképp kerüld a captcha és egyéb szakzsargont, amiből egyértelműen azonosítható, hogy ez egy ellenőrző mező.
Azt gondolom, hogy ha a honlappal már foglalkoztál jónéhány munkaórát, akkor nem kéne nehézséget okozzon a saját kérdések kiötletelése.
Egyébként szerintem yoursoft ötlete a legjobb, legkevesebb időbefektetéssel megvalósítható alternatíva.
"Szűrd a tartalmat. Pl ne engedj url-t."
Ezt írtam. Mi bajon vele? kb ugyanazt ajánlod. Az url csak egyetlen példa volt.
Megjegyzem a helyes gyakorlat az lenne, ha lépesenként javítaná a formot. Így gyakrabban tudna kódot szállítani. A javaslatom csak egy lépés, más néven egyetlen egy PDCA ciklusként értelmezhető.
Leírtam: A tisztességes felhasználót egy alapfunkcionalitásban korlátozod.
Egyáltalán nem ajánlottam tartalomszűrést.
Egyetlen példa arra, hogyan nem szabad a spammerek ellen védekezni.
Remélem, kényelmesen ülsz a PDCA-babzsákodon.
Már megint fogalmatlan vagy. Tudod miért használjan egy spammer a formodat? Hogy eljuttassa az üzenetét. Mit fog tenni, ha a formod erre alkalmatlan lesz? Keres egy másikat.
Na ezért is kell szűrni. Van olyan ember akinek a családneve hosszabb, mint 40nkarakter? Akinek ez különleges karaktert tartalmaz? Esetleg url-ben használt [:/#?=] Karakterek valamelyikét?
Hirtelen a kis Bobby Tables jut eszembe. :))
Debian - The "What?!" starts not!
http://nyizsa.blogspot.com
De ha valaki pl. hibat akar reportalni akkor be fogja masolni az URL-t ahol elojon a problemaja, igy csak siman erre szurni valoban nem tunik jo otletnek! Szerintem is erdemesebb a captchan modositani vagy tenyleg olyan kerdest feltenni amire egy bot nem fog tudni valaszolni...
Névmezőben? Email címben? Miért ne?
Ne az üzenetben.
A speci kerdesek valaszai szivatosak lehetnek.
1. Az ellenseg fele; lefele mert lovon vannak; menetirannyal ellentetesen; nem tudom, rossz voltam toribol
2. wxyz, mert a zs az ket karakter, a nyelvtantanar meg feldughatja a velemenyet, alapbol az a betu aninek van ASCII kodja, a tobbi csak mellebeszeles, (igen UTF8, tudom...) de nekem a dzs nem egy onallo valami, ellenben a Pluto bolygo es punktum.
3. Aszongya cimsor, az a kek, ott felul? Annak a vege az, hogy internet explorer...
4. VI.
5. Ez nem is pont
6. A negyes
Az otlet jo, csak a valaszokat eleg egzaktra kene faragni. Igazabol lehetne egy nehany pontbol allo radiobutton a chapta, igy irni sem kell, csak valasztani, ami felhasznalobaratabb.
> nehany pontbol allo radiobutton
ha mondjuk 3 valaszlehetoseg van, akkor 33% hogy a nigeriai spammer vagy a bot random eltalalja.
de ha 10 lehetosge van, akkor is 10% hogy bejut anelkul hogy ertene a kerdest. es az UX akkor mar nem tul jo.
hát ha a te tudásod itt tart hogy ilyen 2000-es évekből származó megoldásként béna kérdésekkel akarod bombázni a usert, akkor lehet nem a szakmával van a gond:)
Egybetűs családtag?
(nagy Í :)
ezt lehet ugy 30 sec kiprorgetni a valaszokat... :D
nem is ertem miert nem ezt hasznaljak mindenhol!!
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
A rejtett mezos otlet nagyon tetszik, le is nyultam, csak mondom. :-)
Most eppen egy chapta light megoldast keszitettem, tenyleg csak egy egyszerut, miszerint kirakok egy egyszamjegyu szamokbol allo osszeadast vagy kivonast. Ez szerintetek hasznal valamit, vagy tul egyszeru?
Megvalósítás függő.
Jogos. Atirom a kirakott szoveget "3 + 2" rol "harom meg ketto" -re, es nem chapta lesz a field neve, hanem valami olyan, amibe egy robot tuti szoveget ir, es nem szamot. :-)
Van olyan oldalam, aminek magyarul vannak a matematikai műveletek megnevezve és mégis kitölti némelyik robot. Példa: 3 - kettő = ?
"https://hunvagyok.hu "
Beküldtem a translate be, utanna a Google kiszammolta ;)
A számok fognak változni?
php példa: counting.php két session mezőbe tárolja el a generált kérdést és az eredményt. Ezt a mezőt a form-os oldal js-sel húzza be. Így a következő behúzásig a session-ben a tartalom változatlan, magyarul a form-ban küldött adat és a session-ben található megegyezik/megegyezhet. Ez is könnyen törhető, csak sok automata scripttől szabadulsz meg. Nekem eddig a szigorú pattern vált be. Ezt a patternt mind UI-n, mind szerveroldalon alkalmazom. Olyanokat, mint pl.:
<input type="text" name="lastname" id="lastname" value="" size="40" pattern="[a-zA-ZáéíóöőúüűÁÉÍÓÖŐÚÜŰ\.\-\s]{3,40}" title="Minimum 3 karakter (A-Z, -, space)" required="">
Ugyanez a pattern szerveroldalon. A kliens oldal "semmi" ellen nem véd. Nem a saját webformodon keresztül küldi a támadó az adatot.
Hat, az en kodom eleg paraszt. :-)
Szerver oldalon mindent ellenorzok, specialchars es utana regexp alaki ellenorzes van minden mezore, nincs kivetel.
A chapta ugy nez ki, hogy szerver oldalon generalom, random szam es muvelet, ez megy ki a JS retegbe, ott pedig visszakuldom amit a felhaszno ir be eredmenyt, es az eredeti kerdest is, utobbit kicsit parasztosan 2 karakterre kodolom. Ez utobbi konnyen torheto, de nem ember ellen akarok vedekezni, hanem gepek ellen.
A form validate muveletei addig disabledben tartjak a submit gombot amig nincs minden helyesen kitoltve, de a chapta mezore csak azt nezi, hogy ne legyen ures.
Attol tartok, hogy ha lenne egy JS fuggveny ami megnezi, hogy helyes-e a chapta, es eszerint is menne a disabled/enabled, akkor erre a fuggvenyre lehet, hogy rarabolna a bot is. Vagy ez mar paranoia?
A tied olyanoktól nem véd akik nem a te formodon keresztül posztolnak. Márpedig ez a gyakoribb.
Amit én írtam megoldást az annyival jobb, hogy csak a counting.php módosítja a session-t, így annak tartalma változatlan marad és ellenőrizhető szerveroldalon.
Ha nem keri le a formot, akkor nem tudja, hogy mi a chapta feladat.
Ha lekeri, akkor tudnia kell magyarul, es nem szabad, hogy kitoltson egy csabito nevu mezot.
Ez igy talan mar eleg a legtobb robot kivedesehez.
1x lekéri a formot és ír az alapján egy post-ot, amibe belerakja a captcha lekérést értelmezését.
De ehhez mar ember kell. En az automatak ellen akarok vedekezni, nem a celzott tamadasok ellen.
ezek a szam-maszatolos kacsak akkor mukodtek jol, amikor meg csak hagyomanyos OCR szoftverek voltak (ami pixelenkent osszehasonlitgatta adott font karaktereit). manapsag mar neuralis halot hasznalnak OCR-re, ami pont ugy mukodik mint az ember agya, azaz ha te el tudod olvasni, akkor a NN is el tudja.
amugy regen is azt csinaltak, hogy a tamadott site-ok captcha-it hasznaltak fel a file-letoltos warez oldalakon (a torrent elotti idokben ez nagy divat volt), es igy az ottani user megfejtette nekik ingyen. meg voltak ilyen szolgaltatok is, akik fillerekert fejtettek captchakat, emberi eroforrassal (gondolom marek rizsert kinai gyerekekkel vagy nigeriai ehezokkel).
Egy programozó egyetemista csoporttársam is tolta, de nem tudom, mennyit keresett vele. Valószínűleg nem sokat...
/off ebből az ultimate verzió az amikor van egy egész ügyes neurális hálód és elvállalod a filléres captcha fejtést emberi erőforrásként, de közben az NN-t ereszted rá :)
1. A rejtett mezős pötsölésről 10 éve hallottam először, szerintem elavult
2. Az oldalon mezei gagyi captcha van
3. Miért nem használsz google recaptcha-t?
Érdekességképp, úgy látom, hogy a captcha háttere ami "zavart" akar okozni, ugyanabból a 3-4 mintából áll. Bár nem csinálok ilyet, de sejtem, hogy ha az összes ilyen hátteret remove-olják a képről (pl fehérrel kitörlik), akkor egy kicsit okosabb szoftverrel valszeg beolvasható már a string, ha nem is 100%-os sikerrel.
Úgy extraként azért megkérdem, ha eddig nem tettem volna. Miért nem google recaptcha-t használsz?
ez egy borzalmas captcha, ami az oldalon van.
10-szer letöltöm a képet (elégszer más minta lesz), összeadom a képeket, és máris egy egyszerű felismeréssel felismertetem a kódot.
használj recaptchát
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Vagy lehet használni bármi mást is a Google reCAPTCHA helyett, akár többet egymás alatt:
Amennyiben a hibabejelentő a hibás oldal URL-jét is be szeretné másolni, az a saját domain alá mutat amit triviális regexp útján ellenőrizni (de lásd még: DNSBL). Ezt viszont JavaScript oldali ellenőrzéssel is megfognám és/vagy az űrlap alatt feltüntetném szövegesen, különben nagyon szomorú lesz a felhasználó.
Még egy tipp, hogy lehet becsülni a hozzászólás nyelvét, mivel magyar formon más nyelven való megkeresésre nem is számítana az ember.
Még egy tipp, hogy néhány értelmes és emberi strukturált mezőt is érdemes lehet felvenni az űrlapra (legördülővel vagy rádiógombbal), úgy mint: a megkeresés tárgya, altémája és hol hallott rólunk. Ezen listákba szintén fel lehet venni néhány csapdaként szolgáló választ is ami alapértelmezés volna, és volna is információtartalma annak aki ezt kitölti.
Végül létezik egy csomó FOSS levélszemét szűrésére szakosodott eszköz és csomag, amit simán rá lehet ereszteni a beküldött űrlapokra és az alapján is kukázni. Ezek is megfogják a fennmaradó legarcátlanabb kulcsszavakat. Kicsit továbbgondolva lehetne a form action=mailto:jaj.N__e--ke+m@a.b.c.d.e.f.g.h.i.exampLe.com?subject=Megkeresés🎧?&cc=-@🤘.examPle.com